Etablissement Inter – Etats d’Enseignement Supérieur

CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA

BP: 13719Yaoundé (Cameroun) Tel. (237) 22 72 99 57 Site web:
www.iaicameroun.com E-mail: contact@iaicameroun.com

COURS DE SECURITE INFORMATIQUE

(Classes : L2 durée : 30 heures Année académique : 2023-2024)

Objectifs généraux du cours

Le but de ce cours consiste à :

Se familiariser avec les concepts de la sécurité informatique ;

Connaitre et implémenter quelques techniques de sécurité réseaux et Systèmes ;
Connaitre quelques risques liés aux attaques sur les systèmes d'information ;
Identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les méthodes
permettant d'y faire face ;
Connaître les différents services de sécurité ;
Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques.

Programme

Chapitre 1 : Généralité sur la sécurité informatique (les concepts de sécurité)

Chapitre 2 : la sécurité réseau

Chapitre 3 : La sécurité système

Chapitre 4 : les vulnérabilités et les techniques d’attaques

1
Objectifs spécifiques : permettre aux étudiants de connaitre le but et quelques concepts de base de sécurité

Contenu :

Connaitre ce que c’est que la sécurité informatique

Maitriser les concepts de base de sécurité
Connaitre la démarche de sécurité

Introduction
La sécurité des informations a toujours constitué un enjeu majeur dans les relations entre les
hommes. L’information est au centre de toutes les communications et par conséquent toute entité possédant
cette ressource fondamentale devrait prendre des précautions pour s’en protéger. L’évolution de la
technologie et particulièrement l’informatique a accentué davantage la méfiance qui existe dans les
relations humaines. Nous vivons aujourd’hui dans un monde où toute transaction ou échange d’information
doit être garantie d’une mesure de sécurité.

1. Définitions
La sécurité d’une manière générale est un ensemble de techniques et moyens mis en place pour
empêcher à une personne non autorisée à accéder à une information qui ne lui est pas destinée. La sécurité
vise donc à sécuriser:

L’émetteur :il s’agit de l’objet qui initie la communication. Cet objet peut être un processus,
un système d’exploitation, un utilisateur, un navigateur, une application etc..
Le récepteur : il s’agit de l’objet qui reçoit la communication. Cet objet peut être un
processus, un système d’exploitation, un utilisateur, un serveur etc..
Le canal de communication : il s’agit du moyen par lequel l’émetteur et le récepteur
communique. Il s’agit d’un canal sans fil, d’un canal filaire, de la mémoire, etc…
Des protocoles de communication : Il s’agit d’un ensemble convenu de règles de
communication entre les deux communicateurs. Comme exemple, on peut avoir le
protocole HTTP (HyperText Transfer Protocol).
De prévenir un système d’information des attaques multiformes (gestion des risques)

2
 D’empêcher qu’une attaque prenne effet (supervision (IDS))
De maintenir un système informatique en état de fonctionner normalement dans le but de
restreindre l’accès à certaines informations aux utilisateurs autorisés à les consulter.

D’éviter le pire

2. Quelques terminologies importantes en sécurité

Menace : c’est une action ou un événement. C’est la violation potentielle des mesures de sécurité

d’un réseau. Une menace peut affecter l’intégrité ou la disponibilité d’une information ;
Vulnérabilité : elle représente, une faiblesse ou une brèche au sein du système d’information
d’une entreprise. Elle est due à une erreur de conception ou d’implémentation qui une fois
exploitée, permet de compromettre la sécurité du système ;
Attaque : toute action qui consiste à s’introduire au sein du système informatique à travers une
vulnérabilité. C’est donc toute action qui va violer les mesures de sécurités mises en place afin de
prendre le contrôle d’un système ;

Un système informatique est l’ensemble d’équipements informatiques mis en commun

dans le but de traiter l’information ;
Un système d’information est l’ensemble des éléments participant à la gestion, au
traitement, au transport, au stockage et à la diffusion de l’information au sein d’une
organisation ;
L’information veut dire renseignement ou élément de connaissance susceptible d’être
représentée sous forme adaptée à un enregistrement ou à la communication d’un message ; TAF :
Définir sécurité, sécurité informatique, arnaqueur, hacker, cybercriminel, menace, attaque,
vulnérabilité, risque, impact.

3. Les facteurs de causalité des problèmes de sécurité

Plusieurs facteurs sont à l’origine des problèmes généralement rencontrés en entreprises. On peut
citer :

La Mauvaise configuration des applications et hardware présent au sein du réseau. Par

exemple, l’usage des protocoles non sécurisés tels que telnet et FTP peuvent constituer
des failles pouvant être exploitées par un attaquant.
La conception non sécurisée des réseaux informatiques
Les technologies utilisées, si les logiciels ou le dispositif matériel qu’on utilise n’est pas
adaptée à certaines menaces, le réseau sera vulnérable.
Le manque de sensibilisation

3
 Les actes intentionnels causés par les employés qui ne sont pas satisfais du traitement dont
ils font l’objet.

4. Démarche de la sécurité
La sécurité informatique a pour but de garantir pour une information donnée les services de base
de la sécurité vus précédemment. Elle renvoie à une chaine de valeurs constituée des utilisateurs, des
informations et du matériel qui doivent être protégés afin de garantir la sécurité du système d’information.
Pour atteindre ce but, nous devons faire appel à une démarche clairement définie.

La sécurité d’un système d’information obéit à des règles, logiques ou méthodes qu’on peut
résumer en cinq étapes à savoir : la protection, la supervision, la détection, l’analyse et la réponse.

La protection : Le processus visant à empêcher les intrus d'accéder aux ressources du

système. Les barrières incluent les pares-feux, les zones démilitarisées (DMZ) et l'utilisation
d'éléments d'accès comme les clés, les cartes d'accès, la biométrie et autres pour ne
permettre l’accès aux ressources qu’aux utilisateurs autorisés ;
La supervision : examiner et récolter n’importe quelle information relative aux anomalies au
sein du réseau informatique telles que les attaques, les accès non autorisés
La détection : la détection se produit lorsque l'intrus a réussi ou est en train d'accéder au
système. Les alertes à l'existence d'un intrus représentent sont exploitées comme signal de
détection. Parfois, ces alertes peuvent être en temps réel ou stockées pour une analyse
approfondie par le personnel de sécurité. Les systèmes de détection d’intrusion en général et
les antivirus en particulier sont des exemples ;
L’analyse : elle implique différentes actions et méthodes qui ont pour but de confirmer un
incident, de trouver la cause initiale et de pouvoir planifier les différentes actions à prendre
face à cet incident

La réponse : Il s’agit d’un mécanisme post-effet qui tente de répondre à l'échec des quatre
premiers mécanismes. Cela fonctionne en essayant d’arrêter et / ou empêcher de futurs
dommages ou l'accès à une installation. La réponse est très importante pour ralentir la
contamination de l’infiltration.

5. Les services de sécurités

Toute manipulation de l’information doit tenir compte de ces critères. Ces concepts constituent
donc les fondamentaux de la sécurité.

4
 La confidentialité : C’est la Propriété d’une information qui n’est ni disponible, ni
divulguée aux personnes, entités ou processus non autorisés. Certains des moyens les plus
couramment utilisés pour gérer la confidentialité comprennent les listes de contrôle
d'accès, le chiffrement des volumes et des fichiers et les autorisations de fichiers Unix. La
confidentialité est garantie par les algorithmes à chiffrement symétrique et asymétrique.
L'intégrité : C’est la Garantie que le système et l’information traitée ne soient modifiés que
par une action volontaire et légitime.
La disponibilité : C’est la Capacité à assurer le fonctionnement sans interruption, délai ou
dégradation, au moment où la sollicitation en est faite.

L’Authentification : Elle permet de vérifier l'identité revendiquée par une entité, ou

l'origine d'un message, ou d'une donnée.
La non répudiation : Le service de non répudiation exploite les autres services. Ce service
de sécurité fournit une preuve d'origine et la prestation de services et/ou d'informations. Il
empêche l'expéditeur ou le destinataire de refuser un message transmis. Ainsi, lorsqu'un
message est envoyé, le destinataire peut prouver que l'expéditeur présumé a effectivement
envoyé le message. Pour illustrer cela, prenons le système de guichet automatique. Une
opération bancaire lancée à partir de votre carte ne peut être réfutée. Les moyens pour le
garantir peuvent être la signature numérique et les algorithmes cryptographiques.

On peut aussi citer des critères secondaires tels que le contrôle d’accès et la traçabilité. Tout système
doit pouvoir vérifier l’identité et les droits d’un utilisateur afin de l’admettre dans le système et Permettre
de savoir qui a fait quoi. Parmi les services cités ci-dessus on peut les restreindre en trois principaux et
incontournables en sécurité : il s’agit de la confidentialité, l’intégrité et la disponibilité

6. Notion de politique de sécurité

6.1. Définitions

La politique de sécurité est un plan d’actions définissant la démarche ou la méthode utilisée pour
réduire le risque. Elle est matérialisée dans un document qui reprend les enjeux, objectifs, analyses, actions
et procédures faisant partir de cette démarche. La politique de sécurité est dictée par les cadres supérieurs
de l’entreprise décrivant le rôle de la sécurité au sein de l'entreprise afin d'assurer les objectifs d'affaire.

La sécurité de l'information s'obtient par la mise en œuvre d'un ensemble de mesures de sécurité
applicables. Ces mesures sont définies par l’Organisation internationale de normalisation (ISO). La suite
ISO/CEI 27000 (Famille des standards SMSI (Système de Management de la Sécurité de l’Information) ou
ISO27k) comprend les normes de sécurité de l'information publiées conjointement par l'Organisation

5
internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC en
anglais).

Source: https://www.utc.fr/master-qualite/public/publications/qualite_et_management/MQ_M2/2017-
2018/MIM_projets/qpo12_2018_gr08_secu_info/index.html

6.2. Principes essentiels qui contribuent au SMSI

1) la sensibilisation à la sécurité de l'information;

2) l'attribution des responsabilités liées à la sécurité de l'information;

3) la prise en compte de l'engagement de la direction et des intérêts des parties

prenantes; 4) la consolidation des valeurs sociétales;

5) les appréciations du risque déterminant les mesures de sécurité appropriées pour

arriver
à des niveaux de risque acceptables;

6) l'intégration de la sécurité comme élément essentiel des systèmes et des réseaux

d'information;

7) la prévention et la détection actives des incidents liés à la sécurité de l'information;

8) l'adoption d'une approche globale du management de la sécurité de l'information;

9) le réexamen continu de l'appréciation de la sécurité de l'information et la mise en

6
 oeuvre de modifications le cas échéant.

L’une des vulnérabilités les plus présente au sein des entreprises consiste en une
mauvaise
définition d’une politique de sécurité, on peut citer entre autres :

La non transcription écrite de la politique de sécurité ;

Il n’y a pas d’amélioration de la politique de sécurité ;
Le traitement salarial et comportemental des employés ;
Le manque de sensibilisation.

Pour mettre en œuvre ces politiques, il faut qu’une bonne organisation soit mise en place et que les rôles,
les responsabilités et les imputabilités des uns et des autres soient bien définis.

Conclusion
On peut remarquer que la sécurité informatique renvoie à une chaine de valeurs constituée de
plusieurs maillons. Chaque maillon est un élément plus ou moins vulnérable du système qu’il faut protéger.
Le maillon le plus essentiel dans cette chaine est l’homme, c’est lui qui est au centre de tout et par
conséquent ses capacités à renforcer le système doivent être améliorées en tout temps. Le but principal de
la sécurité est de protéger l’information. Cette information doit être transmise par des canaux sures afin
d’en garantir la confidentialité, raison pour laquelle La sécurité réseau en ait une nécessité.

7
Objectifs spécifiques : permettre aux étudiants de comprendre la sécurité réseau et d’implémenter

quelques solutions.

Contenu :
À la fin de ce cours, l’étudiant doit être à mesure de :

D’expliquer le fonctionnement de quelques techniques de sécurité réseaux

Connaitre comment configurer les VPN, les listes de contrôle d’accès, les VLAN et les pare feu

Introduction
Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir communiquer avec
n’importe quelle autre à travers le monde. Il faut cependant trouver des solutions non seulement pour
protéger les communications mais aussi les différentes ressources locales et partagées du réseau. Le but de
ce cours est donc de connaitre ces solutions et de pouvoir les implémenter.

TAF : définir Réseau, sécurité réseau, protocole de sécurité

1. Principe général
On sécurise un réseau informatique pour protéger les ressources qui s’y trouvent, on peut citer
des serveurs, des routeurs, des postes de travail et des informations diverses capitales pour l’entreprise. La
sécurité est d’abord interne avant d’être externe. L’on doit d‘abord commencer à craindre son collègue de
bureau avant de craindre l’ennemi de l’extérieur. La sécurité réseau est basée sur les droits d’accès qu’ont
des utilisateurs par rapport aux ressources du réseau. Lorsqu’une ressource est partagée, les restrictions et
les autorisations s’imposent aux différents utilisateurs par rapport à cette ressource. Il en va de même avec
le réseau tout entier. Ce dernier doit être protégé contre toutes les menaces qui pèsent sur lui. Pour bien
sécuriser son réseau, une bonne politique de sécurité doit être pensée et déployée afin de restreindre l’accès
aux personnes non autorisées.

8
 2. Quelques outils de sécurité
Pour sécuriser un réseau interne, on utilise généralement les outils de sécurité tels :

Les antivirus
Les outils de détection d’intrusion dont le rôle est de détecter une attaque et d’alerter
l’administrateur, ou de détecter toute autre activité normale ou anormale du réseau
Les pare feu dans lesquels sont écrites des règles de sécurité visant à protéger le réseau contre les
accès externes
Les outils de prévention d’intrusion dont le rôle est de détecter, bloquer une attaque et d’alerter
l’administrateur ;

9
 Les listes de contrôle d’accès qui sont des règles écrites dans un routeur pour gérer le réseau
interne.

2.1. Les antivirus

Un logiciel antivirus est une application indépendante ou suite de programmes capables de

détecter et supprimer des virus présents sur des ordinateurs et réseaux. Les logiciels antivirus modernes
protègent aussi vos appareils contre tout type de logiciel malveillant, notamment des vers informatiques,
chevaux de Troie, publiciels, logiciels espion, pirates de navigateur, enregistreurs de frappe et rootkits.

Fonctionnement :

Lorsque vous effectuez un scan à la recherche d’un virus, votre programme antivirus balaye
votre disque dur ainsi que tous les appareils de stockage externes qui y sont reliés. Le
programme inspecte chaque fichier individuel et compare simultanément ses résultats dans sa
base de données de virus connus pour détecter une menace potentielle. Le cas échéant, en
fonction de la gravité de la menace, il peut supprimer, mettre en quarantaine ou réparer le
fichier infecté. Le programme surveille aussi le comportement de tous les logiciels installés sur
votre ordinateur à la recherche de signes indicateurs de danger.

2.2. La détection d’intrusions (IDS/IPS)

La détection des intrusions regroupe les méthodes et les systèmes capables de détecter les actes
de malveillance ou tout simplement des actes qui ne sont pas conformes à la « politique de sécurité. Un
outil de détection d’intrusion (IDS) permet donc à un administrateur réseau de déceler tout comportement
anormal ou trafic suspect. On en distingue trois variantes :

Le système : l’IDS a alors pour but d’analyser le fonctionnement du système. On parle de

HIDS (Host Intrusion Detection System) ;
Le réseau : l’IDS anayse le trafic réseau afin de détecter des communications non autorisées.
On parle de NIDS (Network Intrusion Detection System) ;
Les systèmes et les réseaux : on prle d’IDS hybrides ; Ils combinent des HIDS et des NIDS

10
Fonctionnement d’un IDS

Collecte d’informations : elle peut être réalisée par divers dispositifs d’acquisition de données
tels que les sondes ;

Analyse des informations collectées : ces dernières sont comparées à des données déjà connues
(données de référence) permettant de juger du caractère hostile du trafic ou du processus
Réaction : en cas de détection d’une anomalie, l’IDS peut déclencher une alerte (logs, SMS,
mail, téléphone, etc.) et apporter une réponse s’il y en a une qui est prévue.
Après comparaison avec des données de référence, l’analyse doit permettre de dire si le
fonctionnement anormal est détecté ou pas.

Dans certains cas, le système peut se tromper et générer :

✓ Des faux-positifs : une anomalie ou une attaque est détectée alors qu’il n’en est rien (on
est face à une situation non hostile, mais peut-être peu habituelle) ;
✓ Des faux-négatifs : l’IDS ne déclenche pas d’alerte alors qu’on est en présence d’un
risque pour le système (présence d’une attaque par exemple)

Les faux-positifs et faux-négatifs doivent être minimisés !

Différence entre IDS et IPS

Les IDS et IPS sont des dispositifs de sécurité qui s’intéressent aux intrusions ayant traversé les
pares-feux ;
Ils sont donc localisés à l’intérieur du réseau l’IDS détecte des instruisons ou des anomalies dans
le système ou le réseau et envoie des notifications ou alertes ;
L’IPS, en plus de réaliser une IDS peut réagir activement en bloquant par exemple un trafic.

Exemples d’IDS/IPS : SNORT, BRO, OSSEC, SURICATA

11
 2.3. Les pares feux

2.3.1. Rôles d’un pare-feu

Le pare-feu (en anglais firewall) est une protection située à l'entrée du réseau et sur les
ordinateurs, visant à empêcher toute intrusion sur le réseau. Un pare-feu surveille simplement le trafic
entrant et sortant sur un appareil, en recherchant tout signe d’activité malveillante. S’il détecte quelque
chose de suspect, il le bloque instantanément pour l’empêcher d’atteindre sa destination. Il joue un rôle
capital dans un réseau informatique :

Les intrusions : Les pare-feu empêchent les utilisateurs non autorisés d’accéder à votre
ordinateur ou à votre serveur à distance et de faire ce qu’ils veulent.
Les logiciels malveillants (malware) : Les attaquants qui parviennent à s’infiltrer peuvent
envoyer des logiciels malveillants pour vous infecter ou infecter votre serveur. Les logiciels
malveillants peuvent voler des informations personnelles, se propager à d’autres utilisateurs
ou endommager votre ordinateur de toute autre manière.
Des attaques par force brute : Tentatives de pirates informatiques pour essayer des
centaines de combinaisons d’identifiants et de mots de passe afin de découvrir vos
informations de connexion d’administrateur (ou d’autres utilisateurs).

12
 Attaques DDoS : Les pare-feu (en particulier les pares-feux d’applications web) peuvent
tenter de détecter l’afflux de faux trafic qui se produit lors d’une attaque DDoS.

2.3.2. Les fonctionnalités d’un pare-feu

Selon les fonctionnalités prises en charge par le pare-feu, le trafic peut être autorisé ou bloqué par diverses
techniques qui offrent différents niveaux de protection : Filtrage des entrées de la carte réseau, Filtrage
statique de paquets, Traduction d'adresses réseau (NAT), Inspection dynamique, Analyse des circuits,
Filtrage applicatif.

2.3.2.1. Filtrage des entrées de la carte réseau

Le filtrage des entrées de la carte réseau consiste à examiner les adresses source ou destination
et d'autres informations contenues dans le paquet entrant, puis à bloquer le paquet ou l'autoriser à continuer.
Il ne s'applique qu'au trafic entrant et ne peut pas contrôler le trafic sortant. Il examine les adresses IP et les
numéros de port afin d'identifier les protocoles UDP et TCP, ainsi que le protocole du trafic, TCP, UDP et
GRE (Generic Routing Encapsulation). Le filtrage des entrées de la carte réseau permet de refouler
rapidement et efficacement les paquets entrants standard qui répondent aux critères configurés dans le
parefeu. Cependant, ce type de filtrage est facile à contourner, car il n'examine que les en-têtes du trafic
IP, partant du principe que le trafic filtré est conforme aux standards IP et qu'il n'a pas été manipulé pour
contourner le filtrage.

2.3.2.2. Filtrage statique de paquets

Le filtrage statique de paquets ressemble au filtrage des entrées de la carte réseau dans la
mesure
où il n'examine que les en-têtes IP afin de déterminer si le trafic doit être autorisé à traverser l'interface ou
non. Toutefois, ce type de filtrage permet de contrôler les communications entrantes et sortantes. De plus, il
permet de vérifier que le bit ACK (ACKnowledged) est défini dans l'en-tête IP. Le bit ACK identifie le
paquet comme une nouvelle requête ou comme un retour d'une requête initiale. Il ne vérifie pas que le
paquet a été envoyé par la carte qui le reçoit. Il contrôle simplement si le trafic qui arrive au niveau de la
carte est un trafic de retour, suivant les conventions applicables aux en-têtes IP.

Cette technique ne s'applique qu'au protocole TCP, et non au protocole UDP. À l'instar du
filtrage des entrées de la carte réseau, ce type de filtrage est extrêmement rapide, mais ses capacités sont
limitées et il peut être contourné en manipulant le trafic.

2.3.2.3. Translation des adresses réseau

Dans la gamme mondiale des adresses IP, certaines adresses sont désignées comme des
adresses

13
privées. Ces adresses sont destinées à être utilisées au sein de votre entreprise et ne représentent rien vis-
àvis d'Internet. Le trafic à destination de ces adresses IP ne pouvant pas être acheminé par Internet,
l'affectation d'adresses privées aux périphériques internes permet de limiter les risques d'intrusion.
Cependant, ces périphériques internes ayant souvent besoin d'accéder à Internet, la technologie NAT
(Network Address Translation) convertit les adresses privées en adresses Internet.

Bien que la technologie NAT ne constitue pas à proprement parler une technologie de pare-feu,
la dissimulation de l'adresse IP réelle d'un serveur empêche les agresseurs d'obtenir des informations
précieuses sur le serveur.

2.3.2.4. Inspection dynamique

L'inspection dynamique consigne la totalité du trafic sortant dans une table des états. Lorsque le
trafic de connexion retourne à l'interface, la table des états est contrôlée afin de vérifier qu'il provenait bien
de cette interface. L'inspection dynamique est légèrement plus lente que le filtrage statique des paquets.
Cependant, elle garantit que le trafic ne passe que s'il correspond aux requêtes de trafic sortant. La table des
états contient des informations telles que l'adresse IP de destination, l'adresse IP source, le port appelé et
l'hôte d'origine.

La quantité d'informations (telles que les fragments IP envoyés et reçus) consignées dans la table
des états varie d'un pare-feu à l'autre. Le pare-feu peut vérifier que le trafic est traité lorsque tout ou partie
des informations fragmentées revient. En général, la fonctionnalité d'inspection dynamique contribue à
atténuer les risques engendrés par la reconnaissance du réseau et l'usurpation d'adresse IP.

2.3.2.5. Analyse des circuits

Le filtrage des circuits permet d'analyser les sessions, et non plus seulement les connexions ou
les paquets. Une session peut comprendre plusieurs connexions. À l'instar du filtrage de paquets
dynamique, les sessions sont uniquement établies en réponse à une demande d'un utilisateur. Le filtrage de
circuit prend en charge les protocoles avec connexions secondaires, comme FTP et le flux multimédia en
continu. Il contribue à réduire les risques d'attaque par reconnaissance du réseau, DoS et usurpation
d'adresse IP.

2.3.2.6. Filtrage de la couche applicative

Le filtrage de la couche applicative constitue le niveau d'inspection du trafic le plus sophistiqué.

Des filtres d'application performants permettent d'analyser un flux de données pour une application
particulière et de proposer un traitement spécifique à l'application. Ce traitement comprend l'inspection, le
filtrage ou le blocage, le réacheminement et la modification des données qui traversent le pare-feu. Ce
mécanisme permet notamment de se protéger contre des commandes SMTP non sécurisées ou des attaques

14
contre des DNS (Domain Name System) internes. Vous pouvez généralement ajouter à votre pare-feu des
outils de filtrage de contenu provenant d'autres fournisseurs, par exemple pour la détection des virus,
l'analyse lexicale et la catégorisation des sites. Un pare-feu applicatif est capable d'examiner de nombreux
protocoles différents en fonction du trafic qui le traverse.

Le pare-feu applicatif contribue à réduire les risques liés aux attaques par usurpation d'adresse
IP, DoS, reconnaissance du réseau, chevaux de Troie et certaines attaques de la couche applicative. Les
inconvénients d'un pare-feu applicatif sont qu'il nécessite une capacité de traitement importante et qu'il est
généralement plus lent à acheminer le trafic que les pares-feux par filtrage dynamique ou statique. Les
performances du pare-feu au niveau de la couche applicative sont déterminantes dans l'utilisation d'un
parefeu applicatif.

Le filtrage de la couche applicative est couramment utilisé pour protéger les services accessibles
au public. Si votre entreprise possède une boutique en ligne qui collecte des numéros de carte de crédit et
d'autres informations personnelles sur les clients, la prudence exige de prendre un maximum de précautions
pour protéger ces informations. Le filtrage de la couche applicative garantit que le trafic qui passe par un
port est acceptable. Contrairement au filtrage statique ou dynamique des paquets, qui se contente
d'examiner le port et l'adresse IP source et destination, le filtrage de la couche applicative examine les
données et les commandes entrantes et sortantes.

Source : https://learn.microsoft.com/fr-fr/security-updates/security/20141654

3. Le contrôle d’accès
3.1. Definitions

« Un modèle de contrôle d'accès est un formalisme (souvent mathématique) permettant

d'exprimer les droits d'accès des sujets (ou acteurs) sur les objets ». Une politique de contrôle d’accès
permet de définir les règles à respecter afin de garantir un accès sécurisé aux informations confidentielles.
Le contexte comprend :

Authentification : composant qui vérifie que les Identifiants de l’utilisateur sont valides ;
Autorisation (gestion des) : vérifications des droits ou autorisations à exécuter des
opérations sur les ressources du système ;
Audit : Composante qui garde des traces des opérations effectuées (Sujets, Objets,Date).
L’audit est important en ce sens qu’il permet de faire Une évaluation du contrôle d’accès,
Une détection de violation de mesures de sécurité, Une recommandation d’améliorations
futures

15
 3.2. Les politiques de contrôle d’accès

On distingue plusieurs politiques de contrôle d’accès. Dans le cadre de ce cours, nous allons voir les
politiques de contrôle d’accès DAC, MAC, RBAC et ABAC.

3.2.1. La méthode d’accès DAC (Discretionary Access Control)

La politique de contrôle d’accès discrétionnaire est basée sur l’identité du sujet et les règles
d’autorisation qui lui sont prédéfinies, les autorisations d’accès à chaque objet sont manipulées librement
par le responsable de l’objet (généralement le propriétaire), les autorisations peuvent être accordées, selon
sa volonté, par ce responsable à tout autre sujet. Exemples de cas d’utilisations : les SGBD, les OS, les
ACLs

Avantages

Facile à manipuler
Flexible
Adoptée par la majorité des systèmes commerciaux de nos jours (SGBD, Systèmes d’exploitation,
etc.)

Inconvénients

Manque de contrôle de fuite d’informations confidentielles (vulnérables aux attaques par

chevaux de Troie et aux utilisateurs malveillants).

3.2.2. La méthode d’accès MAC (Mandatory Access Control)

La politique de contrôle d’accès mandataire est définie par MAC = DAC + (Règles
(contraintes)
obligatoire), elle mpose des règles d’autorisation incontournables qui s’ajoutent aux règles discrétionnaires,
spécifie l’accès en se basant sur des classifications associées aux sujets et aux objets. On s’y réfère souvent
par Sécurité à Multi niveaux (MLS) et est utilisée pour protéger les informations dotées d’une importance
élevée (domaine militaire).

Exemple : Un utilisateur sera autorisé à manipuler une information dans le système s’il possède le droit
de lecture sur l’information (contrôle discrétionnaire) et s’il a un niveau de sécurité plus élevé que celui
de l’information en question (contrôle obligatoire).

Avantages

Adopté dans les domaines militaires

16
 Sécurité et confidentialité renforcées
Lutter contre les fuites d’informations

Inconvénients

Difficile à manipuler
Couteuse au niveau de l’implémentation

3.2.3. La méthode d’accès RBAC (Role Based Access Control)

Un des problèmes majeurs des politiques discutées précédemment revient à gérer un grand
nombre d’objets et de sujets (nombre d’autorisations qui augmente, la manipulation des autorisations
devient compliquée) d’où la nécessité d’adopter une politique de contrôle d’accès facile à manipuler mais
en même temps flexible et adéquate, en l’occurrence la politique de contrôle d’accès à base de rôles.

Fonctionnement :

Un rôle représente de façon abstraite une fonction identifiée dans l’organisation (Employé,
directeur technique, directeur, etc.)
L’association des permissions (autorisations) se fait pour chaque rôle et non pour chaque
utilisateur
Chaque utilisateur est associé à un (ou plusieurs) rôle(s) englobant ses fonctions au sein de
l’organisation

Avantages

La manipulation des autorisations est facile

Le modèle sert à grouper les règles d’autorisation selon les positions (job) dans une
organisation

Inconvénient

Un grand nombre de rôles implique tout de même une complexité de gestion

3.2.4. La méthode d’accès ABAC (Attribute-Based Access Control)

Politique de contrôle basée sur les attributs des utilisateurs, des ressources et des conditions de
l’environnement. Politique d’accès définie par des conditions sur les attributs des sujets ou objets
(ressources).

17
Avantages

Utilisation des autorisations facile

Plus sécurisante

Inconvénient

Difficile à mettre en place

4. Les listes de contrôle d’accès

Une ACL est une liste de règles permettant de filtrer ou d’autoriser du trafic sur une ressource
(une ressource peut être un réseau, un ordinateur, un protocole, un serveur, une donnée ou n’importe quel
autre service réseau) en fonction de certains critères (IP source, IP destination, port source, port destination,
protocole, …). Une ACL permet de soit autoriser du trafic (permit) ou de le bloquer (deny). Il est possible
d’appliquer au maximum une ACL par interface et par sens (input/output). Une ACL est analysée par l’IOS
de manière séquentielle. Dès qu’une règle correspond au trafic, l’action définie est appliquée, le reste de
l’ACL n’est pas analysé. Donc tout trafic ne correspondant à aucune règle d’une ACL est rejeté.

On distingue trois types d’ACL : les ACL standards, les ACL étendues et les ACL nommées

Une ACL est dite standard lorsque le filtre se fait uniquement sur l’adresse IP source. Elle est
dite étendue lorsqu’en plus de l’adresse IP source, on filtre également l’adresse IP de destination, le
protocole utilisé ainsi que les numéros de port des applications qui communiquent en réseau.

On utilise les numéros pour distinguer les ACL dans un routeur. Les numéros allant de 1 à 99 et
de 1300 à 1999 sont utilisés pour les ACL standards et ceux allant de 100 à 199 et de 200 à 2699 pour les
ACL étendues.

Les ACL nommées

Comme vous le savez, toutes les listes d’accès doivent être identifiées par un nom ou un
numéro. Ce type de liste d’accès est plus pratique, car on peut spécifier un nom significatif qui est facile à
retenir et associer à une règle. Les ACL nommées peuvent correspondre aux mêmes champs qu’une ACL
standard et étendue, cependant, elles présentent trois grandes différences par rapport aux listes de contrôles
d’accès numérotées, voyons cela ensemble :

L’utilisation de noms au lieu de chiffres pour identifier la liste ACL facilite la mémorisation
et l'identification de l'ACL.

18
 Utilisation de sous-commandes ACL, et non de commandes globales, pour définir l'action et
les paramètres correspondants.
Utilisation des fonctionnalités d'édition de l'ACL qui permettent de supprimer des lignes
individuelles de l'ACL et d'insérer de nouvelles instructions à une liste d'accès nommée.

Les ACL sont configurées par protocole, par direction, par adresse et par interface. Pour bien
configurer une ACL, on doit être capable de répondre aux quatre questions suivantes :

1) De quel type d’ACL s’agit-il ?

2) Dans quel routeur doit-on écrire cette ACL ?
3) Sur quelle interface doit-on appliquer l’ACL ?
4) Quelle est la direction du Traffic

NB1 : on écrit une ACL standard dans le routeur le plus proche de la destination et une ACL étendue dans
le routeur le plus proche de la source.

NB2 : un Traffic est dit entrant dans un routeur, lorsque le message qui est transmis part d’un hôte pour le
routeur. Il est dit sortant lorsqu’il part du routeur pour l’hôte.

NB3 : la commande « in » est utilisée lorsque le Traffic est entrant et « out » lorsque le traffic est sortant

NB4 : les ACL s’exécutent séquentiellement c'est-à-dire de la première à la dernière instruction. Ainsi, il
faut toujours écrire les règles les plus spécifiques avant les règles les plus génériques. À travers la
commande « implicit deny », les ACL rejettent par défaut tout ce qui n’a pas été autorisé par
l’administrateur réseau.

Syntaxe des ACL

- ACL standard
access-list n°_ACL {deny | permit} adresse d’origine masque générique
access-list n°_ACL {deny | permit} any interface [interface]
ip access-group N°_ACL {in | out}

- ACL étendu
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
19
 interface [interface]
ip access-group access-list-number {in | out}

Operateur operande : lt, gt, eq neq suivi d’un numéro de port

Lt pour lower than (plus petit que)

Gt pour greater than (plus grand que)

Eq pour equal (égal à)

Neq pour non equal (différent de)

Established permet au trafic TCP de passer si les bit ACK sont activées.

Les commandes host et any

• Ces deux commandes sont des abréviations permettant de simplifier la lecture ainsi que l’écriture des listes de

contrôle d’accès :

- any : n’importe quelle adresse (équivaut à 0.0.0.0 255.255.255.255)

- host : abréviation du masque générique Ex: host 172.16.33.5 équivaut à 172.16.33.5 255.255.255.255

20
21
22
Conclusion
En guise de conclusion, nous pouvons dire avoir abordé quelques notions de sécurités réseau. Il
est à retenir qu’une sécurité réseau à en place dépend de plusieurs facteurs ; notamment de la politique de
sécurité de l’entreprise en général, de la taille du réseau, des technologies utilisées, etc en particulier.

Introduction
Un système d’exploitation est le logiciel qui gère les applications et le matériel de l’ordinateur.il
est le garant de la sécurité de toutes les ressources qui s’y trouvent. Un utilisateur accède à une ressource à
travers un certain nombre de droits qui sont définis. Un droit d’accès est la permission que possède un
utilisateur par rapport à une ressource. La sécurité du système consiste à sécuriser n’importe quelle
ressource du SE tel que les fichiers, le système de fichiers ou n’importe quelle autre information plus ou
moins critique.
Elle doit faire partir des priorités de l’entreprise car les utilisateurs travaillent dans leur poste de travail. Le
but de ce cours est donc de comprendre les fondamentaux de la sécurité système et savoir configurer les
stratégies locales de sécurité.
23
 1. Panorama sur la sécurité système
1.1. La gestion des ressources
Dans un ordinateur du réseau, on peut identifier deux types de ressources :

Les ressources partagées : c’est l’ensemble des ressources disponibles via le réseau
Les ressources non partagées (les ressources locales) : c’est l’ensemble des ressources
accessible uniquement via le poste en local

1.2. Méthodes d’accès aux ressources partagées

L’accès à une ressource partagée peut se faire de plusieurs manières :

L’utilisation d’un chemin UNC (universal Name convention). Le chemin UNC a la forme
suivante : \\nomserveur[\non_partage[\nom_fichier]]
L’utilisation d’un favoris réseau
La convention suivante est souvent utilisée pour définir les permissions des utilisateurs par rapport aux
ressources : U A/P c’est-à-dire que l’utilisateur U reçoit la permission A par rapport à la ressources P
Interpretation :
U est un utilisateur ou un groupe d’utilisateur
A est une autorisation ou une permission par rapport à une ressource
P c’est la ressource partagée

1.3. Liste des autorisations de partage

Il existe quatre niveaux d’autorisation

NA (No access) c’est-à-dire que l’utilisateur ou le groupe d’utilisateur ne possède aucune

permission sur la ressource concernée
R (read) c’est-à-dire l’utilisateur ou le groupe d’utilisateur possède la permission de lecture
C (change) l’utilisateur ou le groupe d’utilisateur peut non seulement lire la ressource mais la
modifier également
FC (full control (ou control total)) l’utilisateur ou le groupe d’utilisateur a toutes les permissions

1.5. Permission de ressources locales (permission NTFS)

Ces permissions s’appliquent au dossier et au fichier et permettent de mettre en service une sécurité locale en plus
d’une sécurité au niveau du réseau.
Permission Dossier fichier
NA(aucun accès) Rien rien

24
 R(read) Afficher le dossier et les Afficher le fichier ainsi que ses
sousdossiers attributs

W (Write) Ajout de fichier ou de dossier, Modifier les attributs et le

modification des attributs contenu du fichier

X(execute) Modifie les sous dossiers et Execute un fichier((binaire)),

afficiche les permissions affiche les attributs et les
permissions

D(delete) Supprimer l’arborescence Supprimer le fichier

P(change permission) Changer les permissions Changer les permissions
O(take ownerchip) Prendre possession Prendre possession

2. Les piliers de la sécurité d’un Système d’Exploitation

La sécurité du SE se base sur les trois piliers suivants

Intégrité du SE o Seule l’utilisateur légitime doit pouvoir accéder au

système
La confidentialité o Un SE est constitué d’un ou plusieurs comptes utilisateurs. Chaque compte possède des
droits par rapport à chaque ressource du réseau
La disponibilité du SE
C’est le SE qui fait fonctionner un ordinateur. Son instabilité rend également instable l’accès aux données ou
à d’autres ressources locales ou partagées.

3. La notion de checklist
Une checklist représente l’ensemble des mesures de sécurité à appliquer afin de garantir une bonne sécurité des
données et du système. N’importe quelle entreprise doit avoir une checklist. Elle permet d’élaborer et même de
garantir une bonne politique de sécurité.

Les éléments de la checklist

La désactivation des services non essentiels : un attaquant peut se servir d’un service ouvert mais
non utiliser pour attaquer un service
Les patch (correctif de sécurité) et mise à jour
Utilisation des mots de passe complexes.
Désactivation des comptes non utilisés
Installation et mise à jour des antivirus
Utilisation des ACL
Chiffrement des fichiers et système de fichiers
25
 Configuration du pare feu de l’hôte
Activation des mises à jours

4. Les menaces qui pèsent sur l’hôte

Un hôte est exposé à plusieurs types de menaces telles que :

Les infections de malware o un malware est un programme malveillant capable de nuire au bon
fonctionnement d’un hote ou du moins un système. On distingue plusieurs types de malwares parmi
lesquels : Les virus
Les trojan
Les backdoor, etc
La suppression des données o Elle peut se faire par une action volontaire ou
involontaire ou encore illégitime
Les accès non autorisés o Les SE sont exposés à ce type de menaces. Cette menace se produit
lorsqu’une tierce personne (attaquant) plus ou moins mal intentionnée utilise les failles de votre
système pour entrer dans votre ordinateur.
Hôte non patchés o Il est toujours important de faire des mises à jour de votre système afin de
renforcer sa sécurité.
Les emails o Plusieurs menaces proviennent également des emails qui nous parviennent. Ça peut
être un mail de fishing ou de spam.
Le social engineering o Il consiste en un renseignement que fait l’attaquant sur l’entreprise de

manière intelligente dont le but est d’obtenir une information qu’il pourra exploiter pour
attaquer l’entreprise.
Le partage de fichiers réseaux o Il est conseillé d’utiliser les protocoles sécurisés pour
partager les fichiers en réseaux
Téléchargement sur internet o On court beaucoup de risque lorsqu’on effectue les téléchargements
sur internet. La plupart des applications surtout celles qui sont gratuites sont le plus souvent
infectées. Généralement il est greffé à ces applications, des programmes malveillants qui
pourront créer une instabilité de votre système une fois installés. Les hackers ou cracker
utilisent généralement ce type de type techniques pour intégrer votre ordinateur dans un réseau
de botnet.

5. Les bonnes pratiques en matière de sécurité système

Changer les noms et les mots de passe par défaut

26
 Désactiver les comptes inactifs
Granularité dans les droits
Pas de compte partagé
Mise à jour d’une politique de sécurité des mots de passe

6. La sécurité sur Windows

Windows est un système propriétaire très connu dans la famille des SE. C’est un système très
répandu et apprécié dans le monde. Il existe en mode client mais aussi en mode serveur. Comme tout
système d’exploitation, la sécurité sur Windows consiste à protéger les ressources internes de l’ordinateur
contre les accès non autorisés. On fait allusion ici aux données, aux applications, aux fichiers catalogues et
fichiers ordinaires qui doivent être protégés contre les personnes illégitime.

La sécurité des systèmes Windows repose sur les points suivants :

Les droits des utilisateurs par rapport aux ressources locales ou partagées
L’utilisation du pare feu du système
La base de registre
L’utilisation de la stratégie locale de sécurité

6.1. Les privilèges des utilisateurs

Privilège signifie droit d’accès, ou permission. Pour des raisons de sécurité, Chaque utilisateur doit avoir
des droits pour accéder à une ressource. Sous Windows, ça se configure au niveau des propriétés de
sécurité du fichier à protéger.

Clic droit sur le fichier → propriété → onglet securité

Exemple : protégeons le fichier nommé « 31 EMPLOI DE TEMPS du 01 au 06 Juin 2020 E-LEARNING

». hottons à l’utilisateur le droit de lecture à ce fichier

On clique l’onglet sécurité puis on choisit l’utilisateur dont on veut oter le privilège

27
On obtient la page suivante après cliqué sur « modifier ». on peut observer au bas de la fenêtre une liste
d’autorisations. Par défaut toutes les permissions sont accordées. On peut l’observer sur la colonne «
Refuser ». pour retirer un privilège à u utilisateur, on se positionne sur la colonne « Refuser » puis on coche
le privilège correspondant à celui qu’on souhaite oter à l’utilisateur. Pour le cas de cet exemple, on veut
ôter la permission de lecture à l’utilisateur lenovo. On coche ainsi la case de la colonne « Refuser »
correspondant à la permission de lecture. On clique ensuite sur « appliquer » puis sur « OK ».

Sur la boite de dialogue suivante on clique sur « OUI » pour confirmer notre action

28
Voici le message qui s’affiche quand on veut rouvrir le fichier

6.2. L’utilisation du pare feu du système

Il est recommandé d’utiliser le pare feu système pour renforcer la sécurité de l’hôte. Pour cela, il faut que le pare feu
soit toujours activé. On accède au pare feu de Windows en allant dans le panneau de configuration puis cliquez sur
l’option « sécurité du système »

29
Sur la fenêtre suivante,on clique sur pare feu

Se rassurer que le pare est activé

Pour configurer le pare feu de Windows, cliquez sur « paramètres avancés »

30
La fenêtre suivante s’affiche puis on peut commencer à configurer le pare feu

6.3. La base de registre

Le registre Windows est un ensemble de données structurées. En clair, il s’agit d’une base de
données qui stockent les informations importantes pour Windows et les applications installées. Le registre
Windows contient toute la configuration de Windows. On y trouve notamment :

Services Windows et les programmes qui se chargent au démarrage,

les associations de fichiers,

31
 les informations des comptes utilisateurs,
La configuration matérielle.

la configuration d’explorer.exe, les

policies et restrictions administrateurs
toute la configuration utilisateur (fond d’écran, les paramètres de Windows choisies par
l’utilisateur etc)
La configuration des applications. Celles-ci peuvent utiliser la base de registre pour stocker
certains éléments de configuration ou de fonctionnement.
et bien d’autres éléments.

Il existe deux manières d’ouvrir l’Éditeur du Registre dans Windows 10 :

Dans la zone de recherche de la barre des tâches, tapez regedit, puis sélectionnez Éditeur du
Registre (application de bureau) dans les résultats.
Cliquez avec le bouton droit sur Démarrer, puis sélectionnez Exécuter. Tapez regedit dans la
zone Ouvrir et sélectionnez OK.

Avertissement : Faites preuve d’une prudence extrême lors de l’utilisation de l’Éditeur du Registre. Si
vous modifiez le Registre de façon incorrecte, de graves problèmes peuvent survenir et nécessiter une
réinstallation complète du système d’exploitation et entraîner une perte de données. Évitez toute
modification suggérée par les sources d’origine.

6.4. Stratégie locale de sécurité

Elle permet d’élaborer les stratégies de sécurité devant s’appliquer sur les fichiers ou les applications installées dans
l’ordinateur. C’est un outil très efficace pour élaborer une véritable politique de sécurité d’un hôte.

Doublez-cliquez sur « Stratégies de sécurité locale »

32
Sur la fenêtre suivante, vous pouvez désormais configurer les stratégies souhaitées

7. La sécurité sous linux

Tout comme sous Windows, la sécurité sous linux vise également à gérer les droits d’accès, à assurer l’intégrité et la
confidentialité des données et assurer la sécurité de connexion

7.1. Concepts fondamentaux

Sur un système Linux, tout utilisateur (réel ou processus) est identifié par un numéro unique appelé UID
(User identification). Il est également associé à un groupe principal, identifié par un numéro unique nommé
GID (Group identification), et éventuellement à d’autres groupes. Chaque fichier est la propriété d’un
utilisateur et d’un groupe, et présente des permissions en lecture (r), écriture (w) et exécution (x). Ces
permissions sont le fondement de la sécurité du système. Elles sont représentées par une suite de 9 bits
rwxrwxrwx représentant les droits énoncés ci-dessus pour l’utilisateur propriétaire, le groupe propriétaire et
le reste de utilisateurs du système. Chaque groupe de 3 bits rwx peut aussi être représenté par sa valeur
octale entre 0 et 7. Tout processus sur le système dispose également d’un identifiant unique appelé PID.
Son PPID (parent process identifier) permet de l’associer au processus l’ayant engendré. Il est associé à un
UID et GID qui permettent de déterminer ses droits d’accès. On peut égalemnt attribuer des droits à un
utilisateur en utilisant une notation relative (ou symbolique) comme l’exemple suivant ex : u+w,g-w,o-rx
…)

33
— u représente l’utilisateur propriétaire, g le groupe propriétaire et o le reste des utilisateurs,
—le symbole - signifie suppremer un droit, = maintien le droit de l’utilsateur et + l’ajoute un droit —

r, w et x sont les droits eux-même.

Exercice1 : on affecte les droits 640 à l’utilisateur Paul par rapport à une ressource X.

1. quels droit possède Paul par rapport à X

2. quels droits possède son groupe ainsi que les autres utilisateurs par rapport à X

solution : chaĩne 640 (110 100 000) signifie :

— accès en lecture et écriture pour le propriétaire,( 110)

— accès en lecture pour le groupe propriétaire,( 100)

— aucun accès pour les autres utilisateurs.( 000)

Exercice2 : on affecte maintenant les droits 122 à l’utilisateur Jean par rapport à une ressource Y.

1. En utilisant la forme symbolique, présenter les droits des utilisateurs par rapport à la ressource Y
2. Pour chaque catégorie d’utilisateur, quel est son droit par rapport à Y

Solution

1 u+r,g+w,o+w
2 Jean lecture groupe : écriture other : écriture

Les commandes chmod et chow permettent de modifier les privilèges que possdent les utilisateurs par
rapport aux fichiers

- Chmod : elle permet de modifier les droits d’accès par défaut d’un fichier. Syntaxe : Chmod
modifications Fic1 [fic2…]
- Chown (change owner) et chgrp sont des commandes qui s’appliquent sur des fichiers. Elles
permettent de changer le propriétaire et le groupe d’un fichier

7.2. Les iptables sous linux

NetFilter est le pare-feu Linux. IPtables et NFtables ne sont que des intermédiaires permettant

34
de configurer NetFilter. NetFilter est donc un framework permettant d'incorporer un pare-feu au sein du
noyau Linux et il est présent depuis la version 2.4 du noyau Linux. Il fonctionne en mettant en place des
accroches ou crochet (hooks) dans le noyau Linux permettant d'intercepter les paquets réseau qui y
transitent (en émission ou en réception) pour ensuite indiquer s'ils peuvent passer ou non, ou si d'autres
actions doivent y être appliquées.

Figure 1: point de filtrage NETFILTER

Les points de filtrage ont les significations suivantes :

✓ PREROUTING : traite les paquets à leur arrivée. Si le paquet est a destination du système local il
sera traité par les règle (INPUT, OUTPUT) ;

✓ FORWARD : les paquets ne font que traverser le système local ;

✓ INPUT : traite les paquets destinés au système local, en entrée

✓ OUTPUT : traite les paquets quittant le système local, avant POSTROUTING ;

✓ POSTROUTING : traite les paquets avant leur sortie du système.

35
Pour chaque crochet « hook » positionné par NetFilter, on va pouvoir :

✓ Modifier le paquet, puis le rendre ou non au système ;

✓ Imposer au système de supprimer le paquet, cela correspond alors à un rejet du paquet ;

✓ Indiquer au système que le paquet est accepté pour ce hook, jusqu'au prochain.

Les cibles de règles :

Elle détermine l’action à entreprendre lorsqu’un paquet correspond aux critères d’une règle. Avec iptables
on utilise l’option –j pour spécifier la cible.

Les règles sont les suivantes :

✓ DROP : le paquet est rejeté. Aucune notification n,est envoyé à la source.

✓ REJECT : le paquet est rejeté retournant une erreur à la source.

✓ ACCEPT : le paquet est accepté.

✓ LOG : une information est renvoyée à syslog pour les traces.

Les tables

Les tables sont des objets qui permettent d’abriter les chaines. Ces chaines sont définies par l’utilisateur.

Dans NETFILTER/iptables nous avons trois tables : filter, nat et row, mangle et security

Il existe des familles de tables :

✓ Les tables de la famille "IP" qui remplace "IPtables"

✓ Les tables de la famille "ARP" qui remplace "arptables"

✓ Les tables de la famille "IP6" qui remplace "ip6tables"

✓ Les tables de la famille "INET" qui remplace "IPtables" et "ip6btables" qui permettra de faciliter
l'administration des routeurs dual-stack (les routeurs qui sont présent sur la pile IPV4 et également
sur la pile IPv6, le tout en même temps).

✓ Les tables de la famille "bridge"=ebtables

Opération de base
Les règles sont numérotées à partir de 1.

✓ A : ajoute une règle.

36
Interdire tous les paquets en entrée du système local dont la source est 192.168.1.2

# iptables –A INPUT –s 192.168.1.2 –j DROP

✓ I : insère une règle à la position souhaitée

# iptables –I OUTPUT 4 –d 192.168.1.12 –j DROP

✓ D: supprime un règle
# iptables –D INPUT 1 //supprime la règle 1

✓ L : liste les règles par défaut seul la table filter est affichée, pour afficher une autre table utiliser

l’option –t.

Figure 2 : Table iptables

Figure 3 : Affichage de la table nat

✓ F : supprime l’ensemble des règles

37
 ✓ P : modifie les règles par défaut

Critères de correspondance

Les critères de correspondance déterminent la validité d’une règle. Tous les critères doivent être vérifié
pour qu’une règle soit validée.

✓ -i : interface entrante
✓ -o : interface sortante ✓ -p : protocole de la couche 4 ✓ -s : adresse IP de la source.

✓ -d : adresse IP de la destination Exemple :

Interdire tous les trafics entrant dans le système local sur l’interface eth0 :

# iptables –A INPUT –i eth0 –j DROP

Interdire tout trafic sortant du système local vers l’adresse IP 192.168.1.12

# iptables –A OUTPUT –d 192.168.1.12 –j DROP

Interdire tout traffic entrant, sortant et forward par défaut

# iptables –P INPUT DROP

# iptables –P OUTPUT DROP

# iptables –P FORWARD DROP

Interdire le protocol icmp en entrée

# iptables –A INPUT –p icmp –j DROP

TCP, UDP, ICMP

Suivant le protocol de la couche 4 certaines options sont possibles. C’est le cas de (tcp,udp ou icmp). Les
extensions de NETFILTER permettant de le faire sont :

✓ -p : protocole (tcp,udp,icmp,igmp) la liste se trouve dans /etc/protocol

✓ - -dport : port destination

✓ - - sport : port source

Interdire les connexions entrantes à destination du port 80 (serveur httpd) :

# iptables –A INPUT –p tcp - -dport 80 –j DROP

Interdire toutes les connexions http vers le réseau 192.168.1.0/24

# iptables –A OUTPUT –p tcp - -dport 80 –d 192.168.1.0/24 -j DROP

38
Figure 4 : sauvegarde des règles NETFILTER/iptables

La technologie NAT

Un périphérique NAT est un routeur qui modifie également l'adresse IP source et / ou cible dans
les paquets. Il est généralement utilisé pour connecter plusieurs ordinateurs dans une plage d'adresses
privée avec l'Internet (public). Un NAT peut cacher des adresses privées d'Internet. NAT a été développé
pour atténuer l'utilisation d'adresses IP réelles, pour permettre aux gammes d'adresses privées d'accéder à
Internet et de retour, et de ne pas divulguer des détails sur les réseaux internes à l'extérieur.

La table nat dans iptables ajoute deux nouvelles chaînes. PREROUTING permet de modifier les
paquets avant qu'ils n'atteignent la chaîne INPUT. POSTROUTING permet de modifier les paquets après
leur sortie de la chaîne OUTPUT.

Il existe deux type de NAT :

Le SNAT
Il permet de changer l’adresse IP source dans le paquet avant qu’il ne quitte le système local ou le réseau.
On utilise la chaine POSTROUTING.

Voici un exemple de règle SNAT. La règle dit que les paquets venant du réseau 192.168.1.0/24 et sortant
via eth1 obtiendrez l'adresse IP source définie à 111.24.13.1.

39
Exemple
Le réseau interne (eth0) a accès via SNAT à des serveurs web (eth1) externes (port 80).
Lorsque les adresses IP sont dynamiques on utilise le IP MASQUERADING de la manière suivante :

DNAT
DNAT est généralement utilisé pour permettre à des paquets de l'Internet à être redirigé vers un serveur
interne (dans votre DMZ) et dans une plage d'adresses privées qui est inaccessible directement à partir de
l'Internet.

SAUVEGARDE
La sauvegarde des tables se fait pour les distributions DEBIAN et dérivées avec la commande en mode
administrateur :

# iptables-save –c

Pour les distributions REDHAT et dérivées on utilise la commande :

# service iptables save

Les règles sont sauvegardées dans le fichier /etc/sysonfig/iptables

Les règles peuvent être écrite dans un script et lancé à chaque initialisation du système.

Cas pratique
Nous disposons d'un serveur web (HTTP et HTTPS) sur lequel nous intervenons de temps à autre via SSH.
Nous ne souhaitons pas que notre serveur communique avec des IP en 192.168.10.0/24, le tout uniquement
en IPv4. Cela nous permet de nous fixer quelques règles :

✓ Ports 80 et 443 ouverts en entrée (INPUT) et sortie (OUTPUT)

✓ Port 22 ouvert en entrée (INPUT) et sortie (OUTPUT)

✓ Interdiction des paquets venant de 192.168.10.0/24

✓ Refus du reste du trafic

✓ Accepter le traffic ICMP

✓ Accepter le trafic entrant et sortant ssh

✓ Accepter les services de messagerie POP et IMAP

40
Objectifs spécifiques : connaitre quelques méthodes utilisées par les pirates pour mettre en cause
les systèmes d’informations

Introduction
Plusieurs entreprises aujourd’hui sont victimes des attaques cybercriminelles. On se demande
bien comment est-ce que cela puisse être possible sachant que la plupart des entreprises investissent
beaucoup d’argent pour assurer la sécurité de leur réseau. Les vulnérabilités du système en sont une piste.
Un attaquant exploite forcement les failles d’un système pour y pénétrer et atteindre son objectif. On peut
être curieux de savoir comment procède-t-il ? Quelles techniques utilise-t-il pour casser ou contourner les
barrières de sécurité de la cible ? quels protocoles utilise-t-il ? quelle est sa stratégie d’attaque ? telles sont
des questions qui peuvent susciter notre attention et notre curiosité afin d’en déceler les techniques et les
méthodes utilisées pouvant aider les administrateurs réseaux/sécurité à renforcer la sécurité des réseaux
dont ils ont la charge.

1. Quelques définitions
Vulnérabilité : Une vulnérabilité est une faiblesse ou une faille laissée de manière accidentelle ou
intentionnelle dans un réseau ;
Attaque : C’est une Action malveillante qui tente d’exploiter une faiblesse dans le système et de
violer un ou plusieurs besoins de sécurité
Intrusion : C’est une faute opérationnelle, externe, intentionnellement nuisible, résultant de
l’exploitation d’une vulnérabilité dans le système
Menace : On peut la définir simplement comme une Violation potentielle d’une propriété de sécurité
Bombe logique : C’est une partie de programme qui reste dormante dans le système hôte jusqu’à ce
qu’un instant ou un événement survienne, ou que certaines conditions soient réunies, pour
déclencher des effets dévastateurs en son sein.
Cheval de Troie : Un cheval de troie est un programme qui s’installe dans un ordinateur ayant pour
but de faciliter l’accès à d’autres programmes malveillants ou à un pirate informatique. Il peut aussi
voler des mots de passe, copier des données, exécuter des actions nuisibles.
41
 La porte dérobée : Le but principal d’une porte dérobée est de faciliter l’accès au pirate
informatique de manière à ce que l’administrateur du réseau ne s’aperçoive pas et qu’il puisse être
capable à tout moment de reprendre facilement le contrôle du système. Le pirate peut alors
récupérer les données qu’il souhaite, voler des mots de passe ou même détruire des données.

Virus : un virus informatique est un logiciel ou une partie de code malveillant qui se réplique
automatiquement et s'infiltre subrepticement dans votre appareil sans votre autorisation.
Ver : un ver est un virus qui se propage en réseau.
Spyware : Logiciel espion qui collecte des données personnelles avant de les envoyer à un tiers,

Exemple : Keylogger : transmettre les données saisies au clavier

Spamming : Usage abusif d'un système de messagerie destiné à exposer délibérément (et de manière
répétée) les utilisateurs à des contenus non pertinents et non sollicités

2. Quelques protocoles de sécurité

2.1. SSL (Secure Sockets Layer)

Créé par Netscape, SSL est un protocole cryptographique qui opère au niveau de la couche
session. Il est très utilisé dans le commerce électronique SSL assure la confidentialité et l’intégrité des
données, l’authentification et la non répudiation.

2.2. IPSec
IPSec est un protocole qui permet de sécuriser le protocole IP. L’authentification est effectuée
par le procédé de Diffie−Hellman.

2.3. RADIUS (Remote Access Dial−In User Service)

RADIUS permet à de multiples systèmes d’accès distants de partager la même base
d’authentification. RADIUS fournit donc un mécanisme de gestion centralisée des systèmes d’accès
distants.
L’identification d’un utilisateur se fait via son login et son mot de passe.

2.4. SSH (Secure SHell )

SSH est une puissante méthode d’authentification et de préservation de la confidentialité des
données. L’authentification est assurée par RSA. Après validation des certificats, un triple DES intervient
dans le chiffrement des données. De plus au cours de la conversation, les deux hôtes procèdent
périodiquement à une vérification des paramètres d’authentification(certificats) et à un changement de la
clé de chiffrement.

42
 3. Les vulnérabilités
Nous l’avons dit plus haut, une vulnérabilité est une faille de sécurité. Elle provient dans la majorité des cas
d’une faiblesse dans la conception d’un système d’information (SI), d’un composant matériel ou d’un
logiciel. Toutes les vulnérabilités ne mènent pas forcément à une cyberattaque. En effet, elles sont
majoritairement rendues publiques et corrigées. On dit qu’elles font l’objet d’un traitement en divulgation
complète, full disclosure en anglais. Aucun programme informatique n’est infaillible et les vulnérabilités,
qui peuvent être des erreurs d’écriture du code, sont presque inévitables. Pour qu’une vulnérabilité soit
intéressante à exploiter, elle doit répondre aux critères suivants :

toucher un grand nombre de cibles ;

être simple à exploiter ;
avoir un but lucratif direct (ransomware) ou indirect (vol de données à des fins de revente ou de
chantage).

Tant qu’une vulnérabilité n’est pas connue et exploitée par un pirate, elle est appelée 0-day ou zero day.

3.1. Principales causes des vulnérabilités

Les vulnérabilités sont généralement dues aux éléments suivants :

Faiblesses technologiques
Faiblesses de configuration
Faiblesses dans la stratégie de sécurité

3.1.1. Vulnérabilités sur le plan de la technologie

Cela concerne beaucoup plus les protocoles utilisés, on peut citer :

i) Vulnérabilité du protocole TCP/IP:

• Les protocoles HTTP et ICMP sont intrinsèquement non sécurisés
• Les protocoles SNMP ,SMTP et les inondations SYN sont liés à la structure intrinsèquement non
sécurisée qui est à la base de la conception du TCP

ii) Vulnérabilité des systèmes d’exploitations

Tous les systèmes d’exploitation présentent des problèmes de sécurité qui doivent être résolus.

UNIX, Linux, Mac OS, Mac OS X, Windows NT, 9x, 2K, XP et Vista.

Ces problèmes sont documentés dans les archives du CERT (Computer Emergency Response Team)
disponibles sur le site http://www.cert.org.

43
 iii) Vulnérabilité des équipements réseau
Différents types d’équipements réseaux, tels que les routeurs, les pare-feu et les commutateurs, ont des
faiblesses de sécurité qui doivent faire l’objet d’une détection et d’une protection. Ces faiblesses
concernent la protection des mots de passe, le manque d’authentification, les protocoles de routage et les
ouvertures dans les pare-feu.

3.1.2. Vulnérabilités sur le plan de la configuration

Comptes utilisateurs non sécurisés
Comptes système avec mots de passe faciles à deviner
Comptes système avec mots de passe faciles à deviner
Paramètres par défaut non sécurisés dans les produits logiciels
Équipement réseau mal configuré

3.1.3. Vulnérabilités sur le plan de la stratégie

Absence de stratégie de sécurité écrite
Manque de continuité
Contrôle des accès logiques non appliqué
Contrôle des accès physiques non appliqué
Installation de logiciels et de matériels et modifications non conformes à la stratégie de sécurité
Absence d’un plan de reprise après sinistre

3.2. Découverte des vulnérabilités

Découvrir les vulnérabilités d’un système n’est pas chose aisée. Il revient aux spécialistes en la matière de
le faire. Un moyen généralement utilisé par un attaquant est de scanner le réseau ou le système en question
afin d’en déceler les failles. Autre part, les éditeurs de logiciels et les constructeurs de composants
informatiques font appel à des spécialistes qui peuvent provenir via :

des sociétés spécialisées en recherche de vulnérabilités ;

des sociétés spécialisées en audit de code ;
des programmes de bug bounty: il s’agit de concours ouverts à tous où la découverte de
vulnérabilités est récompensée financièrement.

3.3. Comment résoudre une vulnérabilité ?

Afin de résoudre une vulnérabilité, les éditeurs développent des correctifs, ou patchs en anglais. Ces
correctifs peuvent être temporaires ou associés à des montées de version. C’est pour cela que les mises à
jour sont très importantes : elles garantissent de disposer d’une version des logiciels intégrant les dernières
connaissances en la matière.

44
 3.4. Quelques vulnérabilités les plus connues
On peut citer EternalBlue, Shellshock, Heartbleed, Poodle, Dirty COW, Spectre ou Meltdown. Ces
vulnérabilités assez célèbres visent précisément certains produits et logiciels.

Shellshock (aussi appelée « Bashdoor ») est une vulnérabilité qui impacte les systèmes Linux,
Unix et macOS. Elle autorise un attaquant de prendre le contrôle d’une machine.
Heartbleed permet à un attaquant de lire des portions de mémoire d’un serveur, principalement
des clés privées utilisées dans le chiffrement des communications ou d’autres secrets d’un
serveur. Elle provient d’une mauvaise implémentation du protocole TLS par la bibliothèque
OpenSSL.

Poodle – Padding Oracle on Downgraded Legacy Encryption. Localisée dans un protocole de

chiffrement, le SSLv3, cette faille rend les applications vulnérables aux attaques de type «
manin-the-middle » (MITM).
Dirty COW (COW veut dire « copy-on-write ») est une vulnérabilité de Linux. Son exploitation
peut permettre une élévation de privilèges.
Spectre et Meltdown sont des vulnérabilités touchant les processeurs, principalement ceux de la
société Intel pour récupérer des informations de la mémoire.

4. Les types d’attaque et stratégie de mise en place

4.1. Les sources d’une attaque et les objectifs visés
Les menaces sont initiées de diverses sources incluant des personnes physiques, morales et des
gouvernements. Les acteurs malveillants comprennent :

Les individus qui créent des vecteurs d'attaque en utilisant leurs propres outils logiciels ;
Des organisations criminelles gérées comme des sociétés, avec un grand nombre d'employés
développant des vecteurs d'attaque et exécutant des attaques ;
Les états nations dans le cadre de cyber guerres ;
Les terroristes ;
Les espions industriels ;
Les groupes de criminels organisés ;
Les concurrents commerciaux.

Le Dark Web est le lieu par excellence du marché d’attaques dans lequel les attaquants vendent leurs
techniques d’attaques et sont directement recrutés. L’intention des attaquants se résume en plusieurs
objectifs :

45
 Gain financier : le cybercriminel a pour objectif d’arnaquer de l’argent sa cible ou bien se fait
recruter par un tiers qui lui donne des revenus une fois l’objectif atteint.
Perturbation : Le cybercriminel mène ses activités pour nuire sa cible et manipuler à sa guise
les informations sensibles.
Espionnage : Un attaquant peut être recruté par un gouvernement pour espionner un autre
gouvernement. Dans le cadre de la concurrence, une entreprise peut recruter un attaquant pour
faciliter un contre marketing. Dans ce cas aussi, l’attaquant peut exploiter les ressources d’une
machine pour espionner une cible lointaine.

4.2. Les types d’attaques

On distingue deux catégories d’attaques. Les attaques passives et les attaques actives.

4.2.1. Attaques passives

Les attaques passives consistent à obtenir des informations qui sont transmises sans changer l’état
de la communication. Une attaque passive tente d'apprendre ou d'utiliser les informations du système mais
n'affecte pas les ressources système. Les attaques passives ont pour nature d'écouter ou de surveiller la
transmission. Le but de l'attaquant est d'obtenir le contenu des informations transmises. Les types d'attaques
passives sont de deux ordres : la publication du contenu et l’analyse du trafic.

La publication du contenu du message : Une conversation téléphonique, un message

électronique ou un fichier transféré peut contenir des informations sensibles ou confidentielles.
Un attaquant peut observer le contenu de ces transmissions.

Figure 2: publication de contenu

46
 Analyse du trafic : Dans ce cas, l’attaquant essaye de deviner la nature et le contenu de la
communication par le biais de la collecte de caractéristiques des messages véhiculés telles que
les adresses IP, les MACs.

Figure 3: analyse de trafic

4.2.2. Attaques actives

Une attaque active tente de modifier les ressources du système ou d'altérer le fonctionnement d’un
système. Une attaque active implique une modification du flux de données ou la création d'une fausse
déclaration. Les types d'attaques actives sont les suivants :

Mascarade : L'attaque par mascarade a lieu lorsqu'une entité prétend être une entité différente.
Une attaque type mascarade implique l'une des autres formes d'attaques actives.

Figure 4: la mascarade

Modification des messages : Cette attaque consiste à modifier une partie d'un message ou à
retarder/réorganiser le message pour produire un effet non autorisé. Par exemple, un message
signifiant « Autoriser TONYES à lire le fichier confidentiel X» est modifié en «Autoriser
AYINA à lire le fichier confidentiel X».
47
 Figure 5: modification de message

Répudiation : Cette attaque est effectuée par l'expéditeur ou le destinataire. L'expéditeur ou le

destinataire peut nier ultérieurement qu'il a envoyé ou reçu un message. Par exemple, un client
demande à sa banque de « transférer un montant à quelqu'un » et plus tard l'expéditeur (client)
nie avoir fait une telle demande. C'est de la répudiation.
Rejouer : Cette attaque implique la capture passive d'un message et sa transmission ultérieure
pour produire un effet autorisé.

Figure 6: rejeu

Déni de service : Ce type d’attaque empêche l'utilisation normale des services. Cette attaque
peut avoir une cible spécifique. Par exemple, une entité peut supprimer tous les messages
dirigés vers une destination particulière. Une autre forme de déni de service est la perturbation
d'un réseau entier en le surchargeant par des messages afin de dégrader les performances.

La principale différence entre les attaques actives et passives est que dans les attaques actives,
l'attaquant intercepte la connexion et modifie les informations. Attendu que, dans une attaque passive,
l'attaquant intercepte les informations de transit dans le but de lire et d'analyser les informations sans les
altérer. Une attaque passive est donc difficilement détectable par rapport à une attaque active.

4.3. Stratégie de mise en place d’une attaque

La mise en place d’une attaque obéit généralement à quatre étapes : la reconnaissance, la numérisation,
l’exploitation, la post exploitation et le maintien d’accès.

48
 4.3.1. La reconnaissance

La reconnaissance, ou recueil d’informations, est probablement la plus importante des quatre

phases que nous allons présenter. Plus vous passerez du temps à collecter des informations sur votre cible,
plus les phases suivantes auront une chance de réussir. Pourtant, la reconnaissance est également l’une des
étapes les plus négligées, sous-utilisées et incomprises dans les méthodologies actuelles des tests
d’intrusion.
Nous distinguons deux types de reconnaissance : reconnaissance active et une reconnaissance passive.

La reconnaissance active demande une interaction directe avec la cible. Notez que, au cours
de ce processus, la cible peut enregistrer votre adresse IP et consigner vos actions. Elles ont
donc de fortes chances d’être détectées, même si vous tentez de réaliser un test d’intrusion
de façon furtive.
La reconnaissance passive se fonde sur les informations disponibles sur le Web. Au cours
de ce travail, nous n’interagissons pas directement avec la cible, qui n’a donc aucun moyen
de connaître, d’enregistrer ou de consigner nos actions.

Exemple1 d’outil de reconnaissance : HTTrack pour effectuer une copie de toutes les pages
du site.

Exemple2 d’outil de reconnaissance : The Harvester, Il permet de cataloguer rapidement et

précisément les adresses de courrier électronique et les sous-domaines directement liés à la
cible.

Exemple3 d’outil de reconnaissance : Whois, Pour recueillir des informations

supplémentaires sur une cible, une solution très simple mais efficace consiste à employer
Whois. Ce service nous permet d’accéder à des informations précises sur la cible, notamment
les adresses IP ou les noms d’hôtes des serveurs DNS (Domain Name System) de la société,
ainsi qu’à des informations de contact qui comprennent généralement une adresse et un
numéro de téléphone.

4.3.2. La numérisation (scan)

L’une des dernières étapes de la reconnaissance consiste à créer une liste des adresses IP qui
appartiennent à la cible et que vous êtes autorisé à attaquer. Cette liste permet de passer de la phase 1 à la
phase 2 qui est le scan. Au cours de la deuxième phase, nous associerons les adresses IP à des ports et à des
services ouverts.

Dans le cadre de notre méthodologie, nous décomposons la phase 2 en quatre étapes distinctes :

49
 1. Déterminer si un système est actif avec des paquets ping.

2. Scanner les ports du système avec Nmap.

3. Utiliser le moteur de scripts de Nmap (NSE, Nmap Scripting

Engine) pour examiner de façon plus précise la cible.

4. Scanner le système à la recherche de vulnérabilités avec Nessus.

Exemples d’outils de numérisation : ping, fping, nmap, etc

fping -a -g 172.16.45.1 172.16.45.254 > hôtes.txt

L’option -a permet d’inclure dans la sortie uniquement les hôtes actifs. Le rapport final sera ainsi plus clair
et plus facile à consulter. L’option -g permet de définir la plage des adresses IP à balayer. Nous devons
indiquer l’adresse IP de début et celle de fin.

PRESENTATION DE NMAP

Nmap dispose de plusieurs types de scans, les plus connus sont Scan TCP Connect, scan SYN, scan UDP

Connexion TCP : Lorsque deux machines souhaitent communiquer, elles entrent dans un
processus équivalent. Le premier ordinateur se connecte au second en envoyant un paquet SYN à un
numéro de port précisé. Si le second ordinateur est à l’écoute, il répond par un paquet SYN/ACK. Lorsque
le premier ordinateur reçoit celui-ci, il répond par un paquet ACK.

Scans TCP Connect avec Nmap

Ce type de scan est souvent considéré comme le plus simple et le plus stable car Nmap tente
d’effectuer une connexion en trois étapes complète sur chaque port indiqué. Puisque ce scan va jusqu’au
bout de la connexion en trois étapes et la termine ensuite proprement, il est peu probable que le système
cible soit submergé et se plante. Sans préciser une plage de ports, Nmap scannera les 1 000 ports les plus
utilisés. À moins que vous ne soyez vraiment pressé, il est fortement recommandé de scanner non pas
uniquement ces 1 000 ports mais tous. En effet, il arrive souvent que les administrateurs un peu rusés
tentent de masquer un service en l’exécutant sur un port non standard. Pour effectuer un scan de
l’intégralité des ports, vous devez ajouter l’option -p- lors de l’exécution de Nmap. L’option -Pn est
également conseillée car elle désactive la découverte des hôtes et oblige Nmap à scanner chaque système
comme s’il était actif. Cela sera très utile pour découvrir des systèmes et des ports supplémentaires à côté
desquels nous serions sinon passés. Exemple: nmap -sT -p- -Pn 192.168.56.102

50
 Scans SYN avec Nmap

Le scan SYN est probablement le scan de ports Nmap le plus connu. Les raisons de sa popularité
sont nombreuses, notamment le fait qu’il s’agit du scan Nmap par défaut. Si nous lançons la commande
Nmap sans préciser le type de scan avec l’option -s, il choisit par défaut un scan SYN. Outre le fait qu’il
s’agit du choix par défaut, sa popularité vient également de sa rapidité supérieure au scan TCP Connect,
tout en restant relativement sûr, avec peu de risques de submerger ou de planter le système cible. Il est plus
rapide car, à la place d’une connexion intégrale en trois étapes, il réalise uniquement les deux premières.

Dans un scan SYN, la machine d’origine envoie un paquet SYN à la cible, qui répond par un
paquet SYN/ACK (à condition que le port soit utilisé et non filtré), comme cela se passe dans un scan TCP
Connect. À ce stade, plutôt qu’émettre le paquet ACK classique, la machine d’origine envoie un paquet
RST (réinitialisation) à la cible. Il indique à celle-ci d’oublier les paquets précédents et de fermer la
connexion entre les deux ordinateurs. L’avantage de rapidité du scan SYN par rapport au scan TCP
Connect vient manifestement du nombre inférieur de paquets échangés entre les hôtes.

Exemple : nmap -sS -p- -Pn 192.168.56.102

Elle est identique à la précédente, à l’exception de l’option -sS utilisée à la place de -sT, qui
demande à Nmap d’effectuer un scan SYN plutôt qu’un scan TCP Connect. Il n’est pas très difficile
de mémoriser ces types de scan, car la lettre "S" correspond à SYN et la lettre "T", à TCP Connect.
Les autres options ont été expliquées à la section précédente.

Scans UDP avec Nmap

Il faut bien comprendre que les scans TCP Connect et SYN se fondent sur des communications
TCP. TCP est l’acronyme de Transmission Control Protocol, tandis qu’UDP est celui de User Datagram
Protocol. Les ordinateurs peuvent communiquer entre eux en utilisant TCP ou UDP, mais il existe des
différences importantes entre ces deux protocoles.

TCP est un "protocole orienté connexion" car il exige des communications synchronisées entre
l’émetteur et le récepteur. De cette façon, les paquets envoyés depuis un ordinateur vers un autre arriveront
intacts au destinataire et dans l’ordre où ils ont été émis. En revanche, UDP est un protocole "sans
connexion" car l’expéditeur envoie simplement des paquets au destinataire, sans mettre en place un
mécanisme qui garantit leur arrivée sur le récepteur.

TCP se trouve au coeur de la technique mise en oeuvre par les scans TCP Connect et SYN. Si

51
nous voulons découvrir les services qui utilisent UDP, nous devons demander à Nmap de créer des scans
avec des paquets UDP.

Exemple : nmap -sU 192.168.56.102

Il y’a la suite du Cours !!!!

52